Nommé associé cyber chez KPMG en octobre dernier, Guillaume Rablat évoque les nouveaux défis qui l’attendent. Il constate aussi que le secteur cyber pâtit « d’une image encore trop ‘tech’ et d’un manque de diversité » dans l’Hexagone.

Guillaume, vous venez d’être nommé Associé Cyber chez KPMG, après avoir été directeur Cybersécurité et Privacy pendant 4 ans. Quels sont vos nouveaux chantiers prioritaires ?

Tout d’abord, je suis très heureux de rejoindre le collectif des Associés de KPMG et de participer au rayonnement de notre activité cyber. Nous avons plusieurs objectifs et chantiers prioritaires.

Premièrement, je vais continuer à accompagner les clients du cabinet dans la maîtrise de leurs risques cybersécurité. Par ailleurs, nous avons collectivement l’objectif d’accélérer le développement de nos offres « Cyber Transformation » et « Cyber dans les Transactions ». Pour cela et aux côtés des autres associés, je vais m’appuyer sur l’ensemble des expertises de notre équipe cyber, sur nos capacités technologiques et nos innovations, sur nos alliances avec les éditeurs ainsi que sur le réseau de nos 6 000 experts cyber et privacy dans le monde.

Au-delà d’un manque quantitatif de profils, les grandes entreprises ne doivent-elles pas aussi se réinventer pour attirer davantage ?

Le secteur cyber, à l’image de beaucoup d’autres secteurs du numérique aujourd’hui en France, souffre d’un manque de talents, d’une image encore trop « tech » et d’un manque de diversité. Pour y remédier, de nouvelles formations dédiées à la cybersécurité se créent, comme l’école Oteria, et c’est une bonne chose qu’il faut souligner. Néanmoins, je constate que le chemin est encore long. Encore peu de jeunes bacheliers ou de jeunes diplômés se projettent dans le métier de la cybersécurité, et les femmes sont encore trop peu présentes.

Pourtant, les emplois sont passionnants et vraiment divers. Outre l’audit (comme les pentests), l’expertise et la sécurité opérationnelle, il existe des métiers dans la gouvernance, la gestion des risques, la conformité, la gestion et la réponse à incidents, l’analyse de la menace, etc.

Les enjeux pour les entreprises du secteur cyber, mais plus généralement pour toutes les fonctions cyber au sein des organisations, c’est de communiquer sur cette diversité des métiers, promouvoir ces métiers et sensibiliser les jeunes générations.

Vous accordez une attention toute particulière à la problématique de la pénurie de talents et évoquez la notion d’efficience de la fonction cyber. Comment expliquez-vous cela ?

Aujourd’hui, il y a une urgence en matière de ressources humaines au sein des équipes cyber, avec une pénurie de talents et des professionnels au bord du burn-out.

Néanmoins, les discussions autour de la fonction cyber ne devraient pas se limiter qu’à la partie talents : il y a de nombreuses autres sources d’inefficiences, à cause de processus encore manuels comme le suivi des remédiations par exemple, de cartographie incomplète des assets, de manque de suivi des budgets cyber, de silotage encore trop important entre les métiers, l’IT et la fonction cyber. De fait, ces inefficiences ont un impact très concret pour l’entreprise : protection trop faible contre les dernières attaques, capacité de réaction insuffisante ou trop tardive en cas d’incident, etc.

Mais il y a également des impacts moins opérationnels à ces inefficiences et qui ont des conséquences importantes jusqu’au niveau des comités exécutifs. Sans gestion rigoureuse du budget cyber (qui ne bénéficie pas de standards, d’outils et de reportings de référence) et sans reporting clair sur l’avancement des programmes et leur traduction sur la mitigation des risques métiers, le comité exécutif éprouve de grandes difficultés à prendre des décisions sur la stratégie cyber à suivre.

La fonction cyber doit progressivement se saisir de ces sujets avec l’objectif de gagner en efficience car la pénurie de talents ne va malheureusement pas disparaitre à court terme.

Autre préoccupation du moment, la question de la cyber-résilience. Certains parlent d’approche holistique de la cybersécurité, d’autres évoquent un changement nécessaire de paradigme. Comment aborder cette notion complexe auprès de vos clients ?

La cybersécurité, par sa dimension technique, reste un sujet complexe et difficile à appréhender pour nos clients, alors qu’il est éminemment stratégique.

Dans cette optique, la bonne continuité de la gestion des activités de l’entreprise ou toute organisation lorsqu’elle est victime d’une cyberattaque, est un sujet clé. Je pense que les dirigeants l’ont bien compris. Dans notre récente étude CEO Outlook 2022, qui fournit un aperçu unique de l’état d’esprit des stratégies et des tactiques de planification des PDG en France et dans le monde, nous relevons que 75 % des dirigeants français déclarent avoir un plan pour faire face aux attaques par rançongiciel. Au-delà des discussions techniques que nous pouvons mener avec nos clients, il est nécessaire de continuer cet effort de pédagogie auprès des PDG et de leur comité exécutif.

Le projet de Cyber Resilience Act est désormais public. Ce texte vient achever le triptyque réglementaire aux côtés du Cyber Act et de NIS. Est-ce un pas vers la sécurité pour le grand public ?

Je l’espère en tout cas, car l’on voit que le levier réglementaire, en définissant des règles du jeu claires et contraignantes, est assez efficace pour renforcer la sécurité. Il y a de très nombreuses initiatives qui vont voir le jour dans les prochains mois ou prochaines années, tant au niveau français (comme le CyberScore) qu’européen (les règlements européens DMA et DSA, l’Artificial Intelligence Act, le Data Governance Act et le Data Act, le nouveau règlement eIDAS, la NIS v2, le règlement sur les crypto-actifs MiCA, etc.).

Ces initiatives visent à mieux protéger les données des citoyens, à garantir la confiance dans les services numériques et à renforcer les exigences de sécurité pour les entreprises essentielles. C’est un volet désormais fondamental des politiques ESG (environnementales, sociales et de bonne gouvernance) qui sont devenues incontournables pour les entreprises et leur stratégie de développement. Toutes ces différentes initiatives vont dans le bon sens.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.